.

个人信息保护认证实施规则发布构建与国

来源:21世纪经济报道

  南方财经全媒体记者李润泽子实习生高艺广州报道

  近日,为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,并发布《个人信息保护认证实施规则》(下称《实施规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。

  梳理发现,目前我国数据安全认证制度的框架日渐完善,已经建立了App个人信息保护认证、数据安全管理认证、个人信息保护认证3种数据安全认证制度。

  受访专家告诉南方财经全媒体记者,《实施规则》是我国史上首个关于个人信息保护认证的专项制度,确立了个人信息保护认证在我国个人信息保护法律体系当中的正式地位,同时《实施规则》的出台进一步完善了我国数据安全认证认可制度,推动建立更加科学高效的数据安全治理体系。此外,专家指出《实施规则》将《个人信息保护法》个人信息出境的相关规定具体化和可操作化,意在构建与国际接轨的数据跨境流动认证制度,为未来相关认证的国际互认奠定基础。

  首个关于个人信息保护认证的专项制度

  此次发布的《实施规则》明确了个人信息保护认证的适用范围、认证依据、认证模式、认证实施程序、认证证书和认证标志等内容,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

  根据《实施规则》,个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督。认证实施程序为认证委托,技术验证,现场审核,认证结果评价和批准,获证后监督和认证时限。而认证证书的有效期限是3年。

  据了解,认证认可工作制度是一种国内外通行的第三方评价制度,由具备专业能力的第三方机构依据标准和技术规范,对产品、服务或企业的管理体系、人员能力等做出评价,是国家质量技术的其中一项基础。

  在数据安全方面,目前我国已经建立了App个人信息保护认证、数据安全管理认证和个人信息保护认证3种认证制度。其中,数据安全管理认证工作同样于今年展开,通过专门规定认证机构的认证模式、认证实施程序、认证证书和认证标志、认证责任等事项,实现对数据安全认证活动的规范管理。

  据智联出行研究院(ICMA)院长何姗姗介绍,移动互联网应用程序(App)安全认证、数据安全管理认证和个人信息保护认证共同构成了我国目前数据安全认证制度的内容,但它们认证的事项不尽相同。

  ”移动互联网应用程序(App)安全认证的认证对象是移动互联网应用程序(App)的数据安全,数据安全管理认证的认证对象是企业的数据安全管理体系,个人信息保护认证的认证对象较广泛,包括产品、服务和管理体系三大类法定事项。“何姗姗进一步解释。

  但此次发布的《实施规则》仍是我国史上第一个关于个人信息保护认证的专项制度。“《实施规则》确立了个人信息保护认证在我们国家个人信息保护法律体系当中的正式地位。”北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括表示。

  何姗姗则指出,《实施规则》的出台会进一步完善我国数据安全认证认可制度,推动建立更加科学高效的数据安全治理体系。

  与国际接轨

  个人信息跨境处理是《实施规则》的重要内容,在认证依据中就明确,对于开展跨境处理活动的个人信息处理者,还应当符合TC-PG-A《个人信息跨境处理活动安全认证规范》的要求。

  “《个人信息保护法》规定个人信息保护认证可以作为个人信息出境的途径之一,《实施规则》将其具体化,可操作化。”何姗姗表示,个人信息保护认证可以用于多种场景,个人信息出境是其中一个重要场景。当涉及出境事项时,个人信息保护认证可以作为数据出境的一种途径,这一点也被《个人信息保护法》确认。

  根据《个人信息保护法》第38条,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备的条件之一便是按照国家网信部门的规定经专业机构进行个人信息保护认证。

  在上海汇业律师事务所律师史宇航看来,《实施规则》最重要的意义就在于确认了个人信息出境场景下的个人信息保护认证机制。这意味着机构在个人信息出境时,除了选择安全评估以外,还可以选择认证的方式进行个人信息出境。

  “认证的制度意义,一方面是落实我国个人信息保护法的要求,特别是第38条的制度规定。另一方面,确立认证制度也有助于我们实现和国际通行做法的接轨以及协调。”吴沈括表示。

  事实上,认证是全球个人信息保护实践当中的通行做法。吴沈括介绍,国际上常见的个人信息保护相关认证包括欧盟的《通用数据保护条例》(GDPR),与欧盟GDPR相关的eprivacy认证,美国的TRUSTe认证机制和亚太经济合作组织APEC框架下的CBPR认证。

  “相比较而言,我们国家的认证制度蕴含着主权监管的思路,强调与中国相关法律制度的匹配性。”吴沈括表示,在国际协调的过程当中,需要通过进一步的合作和交流,实现中外认证机制的互认,方能确保认证制度可持续发展。

  值得注意的是,何姗姗提示如果涉及个人信息跨境处理,则仍需要符合《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(下称《认证规范》)。

  据北京观韬中茂(上海)律师事务所合伙人王渝伟介绍,该《认证规范》由全国信息安全标准化技术委员会于今年6月发布,系我国首个在个人信息保护认证方面的实践指南,具有重要的实践意义。

  “国内对于个人信息保护认证的实践尚在探索之中。境外不少法域已经有较为成熟的类似制度。对境外个人信息保护认证制度的对比研究有利于我们更好地理解和落地《个人信息保护法》下个人信息保护认证制度。另一方面,对于出海企业需要在境外进行个人信息跨境活动的,因受到境外法律的约束,有必要对相关境外个人信息保护认证制度予以   持续监督

  南方财经全媒体记者观察发现,此次《实施规则》是由国家市场监管总局和国家互联网信息办联合印发。对此,何姗姗解释,可以看出个人信息保护认证由国家市场监管总局和国家互联网信息办公室共同监管。

  实际上根据《个人信息保护法》第62条,国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作,其中就包括推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。

  “但认证并不是机构个人信息保护能力的护身符。如果通过认证的机构违法处理个人信息或侵害个人信息权益,认证并不能成为免责事由,仅能作为个人信息保护能力的证明材料。”史宇航表示。

  而吴沈括则提到认证后的持续监督问题。“这是值得大家   此外,需要指出的是此次《实施规则》的出台不仅是制度层面的完善,也可能推动产业界的变化。何姗姗认为,《实施规则》对个人信息出境制度的完善为产业界提供更明确的合规指导,增强了我国企业在全球数字经济发展中的竞争力,也可能催生大量的个人信息安全咨询需求和合规工具需求,推动相关行业发展。




转载请注明:http://www.abachildren.com/hbyx/3103.html